GootBot Malware

Natukoy ng mga dalubhasa sa cybersecurity ang isang bagong strain ng malware na kilala bilang GootBot, na nagpapakita ng kakayahang pangasiwaan ang paggalaw sa gilid sa loob ng mga nakompromisong system habang umiiwas sa pagtuklas. Ang isang detalyadong pagsusuri sa banta na ito ay nagpapahiwatig na ito ay tila isang bagong pag-ulit na nagmula sa dati nang natuklasang GootLoader malware.

Kapansin-pansin, madiskarteng ipinakilala ng pangkat ng GootLoader ang custom na bot na ito sa mga huling yugto ng kanilang daloy ng trabaho sa pag-atake sa pagsisikap na iwasan ang mga mekanismo ng pag-detect, lalo na kapag gumagamit ng madaling magagamit na mga tool ng Command-and-Control (C2) tulad ng CobaltStrike o RDP. Ang bagong umuusbong na variant na ito ay nailalarawan sa pamamagitan ng magaan na katangian nito ngunit kapansin-pansing pagiging epektibo, na nagbibigay-daan sa mga nakakahamak na aktor na magpalaganap sa pamamagitan ng mga network at mag-deploy ng mga karagdagang payload nang mabilis.

Ang GootLoader, gaya ng ipinahihiwatig ng pangalan nito, ay dalubhasa sa pag-download ng kasunod na yugto ng malware pagkatapos maakit ang mga potensyal na biktima sa pamamagitan ng mga taktika sa pagkalason sa search engine optimization (SEO). Ang malware strain na ito ay nauugnay sa isang threat actor na kilala bilang Hive0127, na kinilala rin bilang UNC2565 sa cybersecurity community.

Ang Mga Pag-atake ng Malware ng GootBot ay Maaaring May Nalason na Mga Resulta ng Paghahanap

Ang mga natuklasang GootBot campaign ay nagpatibay ng bagong diskarte na kinasasangkutan ng SEO-poisoned na mga resulta ng paghahanap na nauugnay sa mga paksa tulad ng mga kontrata, legal na form, at iba pang mga dokumentong nauugnay sa negosyo. Ang mga manipuladong resulta ng paghahanap na ito ay humahantong sa mga hindi pinaghihinalaang biktima sa mga nakompromisong website na mapanlikhang idinisenyo upang maging katulad ng mga lehitimong forum. Dito, ang mga biktima ay nalinlang sa pag-download ng isang paunang kargamento na matalinong nakatago sa loob ng isang archive file. Ang archive file na ito ay naglalaman ng isang nakatagong JavaScript file na, kapag na-activate, ay kumukuha ng isa pang JavaScript file. Ang pangalawang file na ito ay isinasagawa sa pamamagitan ng isang naka-iskedyul na gawain, na tinitiyak ang pagtitiyaga nito sa loob ng nakompromisong sistema.

Ang paggamit ng GootBot ay nagpapahiwatig ng isang kapansin-pansing pagbabago sa mga taktika. Sa halip na umasa sa mga post-exploitation frameworks tulad ng CobaltStrike, ang GootBot ay ginagamit bilang payload kasunod ng impeksyon sa GootLoader.

Ang GootBot ay inilarawan bilang isang obfuscated na PowerShell script na may pangunahing function ng pagkonekta sa isang nakompromisong WordPress site para sa mga layunin ng command at control. Sa pamamagitan ng koneksyong ito natatanggap ng GootBot ang mga karagdagang tagubilin, na nagdaragdag ng pagiging kumplikado sa sitwasyon. Kapansin-pansin, ang bawat nakadeposito na sample ng GootBot ay gumagamit ng isang natatanging, hard-coded na Command-and-Control (C2) server, na ginagawa itong hamon na harangan nang epektibo ang nakakahamak na trapiko sa network.

Ang GootBot Malware ay Maaaring Magsagawa ng Iba't Ibang Invasive Function sa Mga Infected na Device

Sa ikalawang yugto ng chain ng pag-atake, ang isang bahagi ng JavaScript ay nagsasagawa ng isang PowerShell script na may layuning mangolekta ng impormasyon ng system at maihatid ito sa isang malayong server. Bilang tugon, ang malayong server ay nagpapadala ng isang PowerShell script na tumatakbo sa isang tuluy-tuloy na loop, na nagbibigay sa banta ng aktor ng kakayahang ipamahagi ang iba't ibang mga payload.

Ang isa sa mga payload na ito ay ang GootBot, na nagpapanatili ng regular na komunikasyon sa Command-and-Control (C2) server nito, na umaabot sa bawat 60 segundo upang makatanggap ng mga gawain ng PowerShell para sa pagpapatupad at pagpapadala ng mga resulta sa pamamagitan ng mga kahilingan sa HTTP POST.

Ipinagmamalaki ng GootBot ang isang hanay ng mga kakayahan, mula sa pagsasagawa ng reconnaissance hanggang sa pagpapagana ng lateral na paggalaw sa loob ng kapaligiran, na epektibong nagpapalawak sa saklaw ng pag-atake.

Ang paglitaw ng variant ng GootBot na ito ay binibigyang-diin ang malawak na mga hakbang na handang gawin ng mga banta ng aktor upang maiwasan ang pagtuklas at palihim na gumana. Ang pagbabagong ito sa mga taktika, diskarte, at tool ay makabuluhang pinapataas ang panganib na nauugnay sa matagumpay na mga yugto pagkatapos ng pagsasamantala, lalo na ang mga nauugnay sa mga aktibidad na kaakibat ng ransomware na nauugnay sa GootLoader.